網絡安全系列之二十六 EFS加密

1.1EFS加密原理

EFS是Windows系統中所特有的一個實用功能，對于NTFS檔案系統上的檔案和資料，都可以直接使用EFS加密儲存，很大程度上提高了資料的安全性。

EFS加密基于公鑰政策。在使用EFS加密一個檔案或檔案夾時，系統首先會生成一個對稱密鑰來加密檔案或檔案夾，随後系統再利用使用者的公鑰加密對稱密鑰。而在通路被加密的檔案時，系統首先利用目前使用者的私鑰解密獲得對稱密鑰，然後利用對稱密鑰解密出檔案。在首次使用EFS時，如果使用者還沒有公鑰/私鑰對，則會首先生成密鑰對，然後加密資料。如果系統屬于域環境，密鑰對的生成依賴于域控制器，否則依賴于本地主機。

1.2 實施EFS加密

下面我們以使用者zhangsan的身份來對test.txt檔案進行加密。

選中NTFS檔案系統中的一個檔案，點選右鍵，選擇“屬性”，在出現的對話框中點選“正常”頁籤，然後點選“進階”按鈕，在出現的對話框中選中“加密内容以便保護資料”選項，點選“确定”即可。

此時可以發現加密檔案的顔色變成了綠色，當其他使用者登入系統後打開該檔案時，就會出現“拒絕通路”的提示，這表示EFS加密成功。而如果想取消該檔案的加密，隻需将“加密内容以便保護資料”選項去除即可。

1.3 導出EFS證書

當zhangsan成功進行了EFS加密之後，系統會自動為其生成一個密鑰對。密鑰對在Windows系統中是以證書的形式存在的，打開IE浏覽器，選擇“Internet選項\内容\證書”，從中可以檢視到系統已經頒發給zhangsan的證書。

證書是EFS加密的唯一憑據，如果沒有将證書備份，那麼當賬号zhangsan被删除或是系統重裝之後，就無法再打開EFS加密的資料。而且由于EFS加密的安全級别很高，目前也沒有解密的方法。

因而在使用EFS加密之後，一定要将相應使用者的證書進行備份。

在“證書”界面中點選“導出”，打開導出證書向導，選擇将私鑰一并導出，并設定密碼保護私鑰。

為證書設定檔案名和儲存位置後，證書導出成功。

證書導出之後，其他使用者隻要能夠獲得zhangsan的證書，那麼就可以打開zhagnsan加密的檔案。

比如管理者administrator預設也無法打開zhagnsan加密的檔案，但是如果administrator導入了zhangsan的證書，那麼就可以打開加密檔案了。

1.4 重設密碼對EFS加密的影響

公鑰和私鑰是EFS加密的基礎，而私鑰則又是利用使用者的密碼來加密的，因而如果重設了使用者密碼，那麼必然也會對EFS加密産生影響。

例如在“計算機管理”的“本地使用者群組”界面中為zhangsan重設密碼，此時系統會出現警告，提示如果重設密碼可能會導緻資料丢失。

點選“繼續”，完成密碼重設之後，那麼zhangsan也無法打開加密的檔案了。此時必須将zhangsan的密碼再改回原先的，那麼才可以打開加密檔案。

因而在使用了EFS加密之後，如果需要更改相應使用者的密碼，建議按“Ctrl+Alt+Delete”打開“Windows安全”界面，然後使用其中的“更改密碼”功能來修改密碼。

本文轉自 yttitan 51CTO部落格，原文連結:http://blog.51cto.com/yttitan/1572800